องค์กรการแพทย์แคลิฟอร์เนีย เผยผู้ป่วย 3 ล้านคน อาจได้รับผลจากการแฮ็กข้อมูลเมื่อปลายปี 2022

    กลุ่มองค์กรทางการแพทย์ในรัฐแคลิฟอร์เนีย สหรัฐอเมริกา ส่งคำเตือนไปยังผู้ป่วย 3 ล้านคน ว่าแฮ็กเกอร์อาจขโมยข้อมูลด้านสุขภาพและข้อมูลส่วนบุคคลอื่น ๆ ไปในช่วงที่มีเหตุโจมตีด้วยมัลแวร์เรียกค่าไถ่เมื่อวันที่ 1 ธันวาคม ปีที่แล้ว   องค์กรเหล่านี้ ได้แก่ Regal Medical Group, Lakeside Medical Organization, ADOC Medical Group และ Greater Covina Medical   Regal ออกมาเปิดเผยว่า ได้จ้างผู้เชี่ยวชาญจากภายนอกมาจัดการกับปัญหาที่เกิดขึ้น และได้ทำงานร่วมกับบริษัทด้านไซเบอร์เพื่อกู้คืนระบบและตรวจสอบว่ามีข้อมูลใดที่ได้รับผลกระทบบ้าง   จากข้อมูลของหน่วยงานด้านไซเบอร์ พบว่าข้อมูลที่แฮ็กเกอร์ขโมยออกไปจากกลุ่มองค์กรเหล่านี้มีทั้ง ชื่อผู้ป่วย เลข Social Security ที่อยู่ วันเกิด ข้อมูลการวินิจฉัยโรคและการรักษา ผลตรวจห้องปฏิบัติการ ข้อมูลการสั่งยา ข้อมูลฉายรังสี ข้อมูลประกันสุขภาพ และเบอร์โทรศัพท์   กระทรวงสุขภาพและบริการมนุษย์ของสหรัฐอเมริกา (DHH) ที่อยู่ระหว่างการตรวจสอบเหตุการณ์ที่เกิดขึ้นเผยว่ามีผู้ป่วยถึง 3,300,638 รายที่ได้รับผลกระทบ…

Slick แอปวัยรุ่นอินเดียทำฐานข้อมูลผู้ใช้นับแสนรายหลุดบนโลกออนไลน์

    Slick แอปพลิเคชันโซเชียลมีเดียสัญชาติอินเดียที่ขณะนี้กำลังมาแรงทำฐานข้อมูลผู้ใช้งานหลุดสู่สาธารณะเป็นเวลาหลายเดือน ในจำนวนนี้มีข้อมูลเด็กนักเรียนด้วย   ฐานข้อมูลนี้หลุดออกมาตั้งแต่เมื่อวันที่ 11 ธันวาคม มีทั้งชื่อนามสกุล เบอร์โทร วันเกิด และรูปโปรไฟล์ของผู้ใช้งานมากกว่า 153,000 คน   ผู้ที่เจอฐานข้อมูลที่หลุดออกมานี้คือ อนุรัก เซ็น (Anurag Sen) จาก CloudDefense.ai ซึ่งได้ขอให้เว็บไซต์ TechCrunch ช่วยแจ้งเตือนไปยัง Slick ซึ่งทาง Slick ก็ได้แก้ไขเรียบร้อยแล้ว   เซ็นยังได้จากแจ้งไปยังหน่วยตอบโต้เหตุฉุกเฉินทางคอมพิวเตอร์อินเดีย (CERT-In) ให้ทราบด้วยแล้ว   TechCrunch พบว่าการหลุดรั่วของฐานข้อมูลในครั้งนี้เกิดจากการตั้งค่าที่ผิดพลาด ทำให้ใครก็ตามที่รู้เลขไอพีของฐานข้อมูลก็จะสามารถเข้าไปดูข้อมูลได้หมด   Slick เปิดให้ใช้งานครั้งแรกเมื่อเดือนพฤศจิกายน 2022 ก่อตั้งโดย อาจิต นันดา (Archit Nanda) อดีตผู้บริหาร Unacademy โดย Slick เป็นแพลตฟอร์มสำหรับนักเรียนและนักศึกษามาพูดคุยกันได้แบบไม่เปิดเผยตัวตน ในปัจจุบันมีผู้ดาวน์โหลดถึง 100,000 ครั้ง…

แนวทางประเมินความเสี่ยงและแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

    พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ มาตรา 37 (4) กำหนดให้ผู้ควบคุมข้อมูลส่วนบุคคลมีหน้าที่ “แจ้งเหตุการละเมิดข้อมูลส่วนบุคคล” แก่สำนักงานโดยไม่ชักช้าภายใน 72 ชั่วโมง   นับแต่ทราบเหตุเท่าที่จะสามารถกระทำได้ เว้นแต่การละเมิดดังกล่าวไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล   อย่างไรก็ตาม ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลให้แจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้าด้วย   ตามมาตรา 37 (4) แสดงให้เห็นว่า “การประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล” เป็นเงื่อนไขสำคัญประการหนึ่งที่ทำให้ผู้ควบคุมข้อมูลส่วนบุคคลทราบว่าตนเองนั้นมีหน้าที่ต้องแจ้งหรือไม่ต้องแจ้งเหตุ แก่สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและเจ้าของข้อมูลส่วนบุคคลให้ทราบถึงเหตุการละเมิดข้อมูลส่วนบุคคลที่เกิดขึ้น   ดังนั้น ผู้ควบคุมข้อมูลส่วนบุคคลจึงจำเป็นต้องพิจารณาปัจจัยต่าง ๆ เพื่อใช้ในการประเมินความเสี่ยงต่อสิทธิและเสรีภาพของบุคคล เมื่อเหตุการละเมิดข้อมูลส่วนบุคคลเกิดขึ้น     คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้กำหนดปัจจัยต่าง ๆ ที่ผู้ควบคุมข้อมูลส่วนบุคคลอาจใช้ในการประเมินความเสี่ยงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลไว้ในประกาศฯ เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคลฯ ข้อ 12   โดยผู้ควบคุมข้อมูลส่วนบุคคล อาจพิจารณาจากปัจจัย ดังต่อไปนี้   (1) ลักษณะและประเภทของการละเมิดข้อมูลส่วนบุคคล   (2) ลักษณะหรือประเภทของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด   (3) ปริมาณของข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการละเมิด ซึ่งอาจพิจารณาจากจำนวนเจ้าของข้อมูลส่วนบุคคลหรือจำนวนรายการ (records)…

รู้จักกับ Phishing การขโมยข้อมูลทางไซเบอร์

    รู้จักกับ Phishing การขโมยข้อมูลทางไซเบอร์และวิธีการรับมือรูปแบบต่าง ๆ   ปัจจุบันความปลอดภัยของข้อมูลส่วนบุคคลบนโลกไซเบอร์เป็นสิ่งสำคัญเป็นอย่างมาก เนื่องจากเกี่ยวข้องกับรูปแบบการใช้ชีวิตของบุคคลนั้น ๆ เช่น การทำงานและการเงิน เมื่อข้อมูลอยู่บนโลกออนไลน์ที่สามารถเข้าถึงได้ทำให้ผู้ไม่ประสงค์ดีอาจใช้ช่องทางดังกล่าวแสวงหาประโยชน์จากข้อมูลส่วนบุคคล เช่น การหลอกให้โอนเงินและการขโมยเงินในบัญชีธนาคาร     ช่องทางการขโมยข้อมูลทางไซเบอร์   1. ปลอมอีเมล วิธีการปลอมอีเมลติดต่อให้ดูเหมือนเป็นอีเมลของธนาคารหรือบริษัทที่ถูกแอบอ้าง หากได้รับอีเมลแปลก ๆ ให้สังเกตชื่อที่อยู่ด้านหลังของอีเมลว่าเป็นชื่อของเว็บไซต์ของหน่วยงานนั้น ๆ จริงหรือไม่   2. เว็บไซต์ปลอมหลอกให้กรอกข้อมูล การปลอมเว็บไซต์และข้อมูลใหม่ทั้งระบบโดยลอกเลียนแบบมาจากเว็บไซต์ของธนาคารหรือบริษัทที่ถูกแอบอ้าง อย่างไรก็ตามจุดสังเกตเว็บไซต์ปลอมมีหลายจุด เช่น เมนูที่คลิกไม่ได้ การออกแบบที่ไม่สมส่วนหรือกระจัดกระจายไม่มีระเบียบ รวมไปถึง URL ชื่อที่อยู่ของเว็บไซต์ที่ใช้ชื่อแปลก ๆ   3. โทรศัพท์ (Call Center) รูปแบบการหลอกขอข้อมูลและโอนเงินที่ระบาดมากที่สุดทั้งในประเทศไทยและต่างประเทศ มักใช้วิธีปลอมตัวเป็นธนาคารและเจ้าหน้าที่ของรัฐ โทรมาสอบถามและแจ้งเหตุด่วนให้เหยื่อรีบโอนเงินกลับไป   4. ข้อความสั้น SMS การส่งข้อความไปยังโทรศัพท์ของเหยื่อโดยตรงเพื่อหลอกให้คลิกลิงก์แปลก ๆ และกรอกข้อมูลต่าง ๆ…

“กสทช.”เตือนอย่าหลงเชื่อกรอกข้อมูลแอบอ้างช่วยขยายเวลาทดลองออกอากาศวิทยุ

    สำนักงาน กสทช. เผยไม่เคยให้ข้อมูลข่าวสารเกี่ยวกับการลงทะเบียนขยายเวลาทดลองออกอากาศวิทยุชุมชน และไม่เคยขอให้กรอกข้อมูลส่วนบุคคลของผู้ลงทะเบียน ตามที่มีการแชร์ข้อมูลในกลุ่มไลน์ต่าง ๆ   พลอากาศโท ธนพันธุ์ หร่ายเจริญ  กรรมการ กสทช. เปิดเผยว่า ตามที่ปรากฏข้อมูลหรือข่าวสารเกี่ยวกับการลงทะเบียน ขอขยายเวลาการทดลองออกอากาศวิทยุกระจายเสียง ในระบบเอฟเอ็ม โดยมีการอ้างอิงประกาศ กสทช. เรื่อง หลักเกณฑ์ ว่าด้วยการทดลองออกอากาศวิทยุกระจายเสียง ในระบบเอฟเอ็ม และกำหนดให้มีการกรอกข้อมูลส่วนบุคคล ของผู้ลงทะเบียน รวมทั้งมีการนำเสนอข้อมูลที่มีการพาดพิงถึงสำนักงาน กสทช. ในกลุ่มไลน์  นั้น  ขอชี้แจ้งว่า การดำเนินการดังกล่าวไม่ได้มีส่วนเกี่ยวข้องกับ กสทช. และสำนักงาน กสทช. แต่อย่างใด   ทั้งนี้การทดลองออกอากาศวิทยุกระจายเสียง ระบบเอฟเอ็มนั้น กสทช. ยังคงมีนโยบายที่จะเร่งรัดปรับปรุงหลักเกณฑ์ ที่เกี่ยวข้องให้แล้วเสร็จโดยเร็ว เพื่อรองรับให้มีการออกใบอนุญาตประกอบกิจการวิทยุกระจายเสียงแก่ผู้ที่ประสงค์ จะดำเนินกิจการวิทยุกระจายเสียงต่อไป ให้มีความต่อเนื่องกับการยุติการทดลองออกอากาศวิทยุกระจายเสียง ระบบเอฟเอ็ม ในวันที่ 31 ธ.ค. 67   “กสทช. ให้ความสำคัญกับการแก้ไขปัญหาการทดลองออกอากาศวิทยุกระจายเสียง ระบบเอฟเอ็ม เพื่อให้ผู้ทดลอง…

แนวทางในการคัดเลือก เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO)

  เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer:DPO) ถือเป็นบุคคลสำคัญในการกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลขององค์กร   พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จึงได้กำหนดหน้าที่ในการจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลไว้ โดยให้ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลต้องจัดให้มี DPO ในกรณีดังต่อไปนี้   (1) ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นหน่วยงานของรัฐตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ   (2) การดำเนินกิจกรรมของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลในการเก็บรวบรวม ใช้ หรือเปิดเผย จำเป็นต้องตรวจสอบข้อมูลส่วนบุคคลหรือระบบอย่างสม่ำเสมอโดยเหตุที่มีข้อมูลส่วนบุคคลเป็นจำนวนมากตามที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลประกาศกำหนด หรือ   (3) “กิจกรรมหลัก” ของผู้ควบคุมข้อมูลส่วนบุคคล หรือผู้ประมวลผลข้อมูลส่วนบุคคลเป็นการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามมาตรา 26   ในปัจจุบัน คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลยังไม่ได้มีการออกประกาศตามข้อ (1) และ (2) ดังกล่าวข้างต้น   ในส่วนของบุคคลที่จะทำหน้าที่ DPO กฎหมายกำหนดว่าอาจเป็นพนักงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล หรือเป็นผู้รับจ้างให้บริการตามสัญญาก็ได้เช่นกัน   หน้าที่หลัก ๆ ของ DPO คือ การให้คำแนะนำและตรวจสอบองค์กรนั้น ๆ ในการปฏิบัติและดำเนินการให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ…